Masz Firefoksa? Uważaj, co instalujesz
Przewagą Firefoksa nad konkurencyjnymi przeglądarkami jest mnogość dostępnych nań dodatków i wtyczek. Któż nie korzysta z takich, "kultowych" już rozszerzeń, jak Fasterfox, VideoDownloader czy Tabmix? Najwyraźniej na popularności Firefoksa próbują też zarobić cyberprzestępcy - firma McAfee zidentyfikowała właśnie konia trojańskiego, podszywającego się pod wtyczkę do tej popularnej przeglądarki. "Umieszczenie funkcjonalności we wtyczce czy rozszerzeniu do przeglądarki ma swoje zalety z punktu widzenia autorów - kod trojana i jego działanie mniej "rzuca się w oczy". Wszystkie połączenia, dostępy do plików, obciążenie pamięci i czasu procesora idą "na konto" przeglądarki", ostrzega Tomasz Sztejnike, przedstawiciel firmy Arcabit.
Pracownicy McAfee nadali trojanowi nazwę FormSpy. Pobierany jest on na komputer już zainfekowany innym "złośliwym" kodem - mowa tu o trojanie Downloader-AXM, wykrytym w ostatnim czasie w pewnej liczbie spamerskich wiadomości email. Działanie Downloadera-AXM polega na tym, iż komunikuje się on z zaprogramowanymi serwerami, skąd pobiera niebezpieczne aplikacje bez wiedzy użytkownika komputera. Trojan FormSpy, po pobraniu i zainstalowaniu, przedstawia się jako rozszerzenie do przeglądarki Firefox o nazwie NumberedLinks 0.9. Wtyczka taka istnieje w rzeczywistości, a umożliwia nawigowanie po panelach przeglądarki za pomocą klawiatury numerycznej.
"Innowacyjnym jest raczej sposób instalacji i - po części - ukrycia działania trojana" - uważa Tomasz Sztejnike z antywirusowej firmy Arcabit. "Pierwszą linią ataku jest tak czy inaczej Downloader. Ten musi zostać jakoś załadowany i aktywowany na komputerze ofiary. Stosowanie downloaderów jest tendencją dość powszechną, bo pozwala szybko zmienić funkcjonalność trojanów, które są już wykorzystywane "komercyjnie" - usługi sieci bot-netów są przedmiotem handlu na "czarnym rynku". Dzięki architekturze wykorzystującej downloader można łatwiej zmienić funkcjonalność takiej sieci - dostosować się np. do potrzeb klienta-spamera", przekonuje T. Sztejnike.
Zainstalowany w systemie trojan może przesyłać informacje wyświetlone w oknie przeglądarki ( np. wpisywane przez użytkownika hasła dostępowe bądź numery kart płatniczych ) na inną stronę WWW, jak również wykradać hasła z protokołów komunikacyjnych ICQ, FTP, IMAP i POP3.
Wykrywamy trojana
Oryginalna wtyczka NumberedLinks 0.9 instaluje w systemie operacyjnym następujące pliki:
%MozillaUserProfile%( ARBITRARYCLASS_ID )\chrome\numberedlinks.jar %MozillaUserProfile%( ARBITRARY_CLASS_ID )\chrome.manifest %MozillaUserProfile%( ARBITRARY_CLASSID )\install.rdf
FormSpy modyfikuje pierwszy z wymienionych plików oraz instaluje kolejne:
%MozillaInstall%\components\AppInterConn.dll %Mozilla%\AppInterConn.xpt %Windir%\System32\138762763.exe
O obecności w systemie trojana ( oczywiście oprócz niezamierzonej obecności wtyczki NumberedLinks 0.9 w spisie rozszerzeń Firefoksa, dostępnym w menu Tools/Extensions lub w Tools/Add-ons w Firefoksie 2.0 beta ) świadczy istnienie w Rejestrze dwóch kluczy:
HKEYCURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"stup" = "%Windir%\System32\138762763.exe" HKEY_CURRENTUSER\Software\keys
oraz wychodzące połączenie HTTP z adresem IP 81.95.xx.xx*"Trefne" wtyczki*
Rozszerzenia do Firefoksa, pomijając przydatność oferowanych przez nie funkcjonalności, bywają obiektami krytyki ze strony specjalistów ds. komputerowego bezpieczeństwa. Główny stawiany im zarzut to brak certyfikatów poświadczających przeznaczenie i sposób działania danej wtyczki oraz łatwość, z jaką mogą zostać wykorzystane do wykonania niebezpiecznych kodów. Trojan taki jak FormSpy, udający rozszerzenie do przeglądarki mniej "rzuca się w oczy". Jak mówi, T. Sztejnike, "wszystkie połączenia, dostępy do plików, zajętość pamięci i czasu procesora idą "na konto" przeglądarki. Dodatkowo jest większa szansa, że użytkownik odblokuje na firewallu wszelkie sieciowe działania przeglądarki, czyli również zainstalowanego jako dodatek trojana."
Z podobnych przyczyn koncern Microsoft wprowadził kilka poważnych zmian do Internet Explorera, modyfikując m.in. mechanizm obsługi przez tę przeglądarkę kontrolek ActiveX - IE pyta użytkownika, czy może uruchomić okna o potencjalnie niebezpiecznej zawartości, a w wersji oznaczonej numerem 7 zawartość taka ma być w całości domyślnie blokowana.
Mozilla znana jest z tego, iż szybko reaguje na wszelkie alerty zgłaszane pod adresem Firefoksa. Jakie środki powinna więc podjąć, aby wyeliminować ryzyko pojawiania się tego typu zagrożeń? Zdaniem T. Sztejnike "należałoby chyba pomyśleć o jakiejś funkcjonalności ograniczającej łatwość instalacji dodatków, wtyczek itp. Choćby dodatkowe potwierdzenie instalacji dodatku po kolejnym uruchomieniu przeglądarki tak, żeby nie dało się zainstalować takiego dodatku "po cichu", bez informowania użytkownika." R. Tarkowski z CERT Polska dodaje: "Moim zdaniem wystarczy zaimplementować mechanizm, który uniemożliwi "ciche" instalowanie rozszerzeń. Np. po każdym uruchomieniu Firefox sprawdza, czy pojawiły się nowe rozszerzenia. Jeśli tak, to muszą być zatwierdzone przez użytkownika."
Może się jednak okazać, że i takie zabezpieczenia nie dadzą efektów, zwłaszcza jeśli weźmiemy pod uwagę beztroskie podejście części użytkowników do kwestii bezpieczeństwa komputera. "Widać to po epidemiach robaków, które przesyłały się w archiwach zabezpieczonych hasłem - użytkownicy bezkrytycznie "pomagali" tym robakom w działaniu, pracowicie przepisując hasła z obrazków dołączonych do listów z robakiem...", przekonuje T. Sztejnike.
Szansa, na pojawienie się w najbliższym czasie większej liczby tego typu zagrożeń zależeć będzie w dużej mierze od skuteczności tego 'premierowego' trojana, ale również od reakcji Mozilli. T. Sztejnike sądzi, że jeśli uda się szybko wypracować system blokujący instalowanie FormSpy'a przez Downloadera, nie będzie on stanowił zachęty dla autorów innych koni trojańskich. "Istotna jest również zdolność samego downloadera do "przenikania" do systemu użytkownika - to również odpowiedź na realność zagrożenia samym Form.Spy - głównym zagrożeniem jest downloader, Form.Spy to "tylko" jedna z możliwych funkcjonalności", uważa przedstawiciel Arcabitu.